A nossa vida é cada vez mais tecnológica e o tratamento de dados pessoais assume uma dimensão não antes vista. Os ataques informáticos crescem exponencialmente em número e na dimensão dos seus efeitos e consequências nefastas e assistimos em 2022 a ataques informáticos de grande dimensão e complexidade cujas consequências poderiam ter sido, senão evitadas, pelo menos muito reduzidas se se cumprissem determinadas medidas organizativas e de segurança aplicáveis aos tratamentos de dados pessoais.
Cada vez mais os nossos Clientes, preocupados com esse tema, nos procuram para identificar formas de prevenir ou minimizar o impacto desses ataques, quer contratando corretamente alguns serviços para a sua organização, sendo importante a correta descrição funcional das obrigações que cabem ao prestador a este respeito nesses contratos (ou aditando os contratos já existentes), quer para que se identifiquem o que são as melhores recomendações sobre as medidas a implementar para a proteção dos dados pessoais, e implementando formas para que a organização as identifique, adote e supervisione o seu cumprimento.
A Comissão Nacional de Proteção de Dados já elenca desde o início deste ano, algumas medidas de medidas organizativas e de segurança aplicáveis aos tratamentos de dados pessoais, de grande importância, destinadas aos responsáveis pelos tratamentos e aos subcontratantes, pretendendo sensibilizá-los para as suas obrigações legais no domínio da segurança dos tratamentos e para a necessidade de realizarem um maior investimento nesta área (veja-se a Diretriz/2023/1, aprovada pela CNPD a 10 de janeiro).
É aconselhável a existência e atualização de planos de prevenção atualizados, que possam ajudar a proteger os sistemas e infraestrutura da organização e a criação de mecanismos sólidos prontos a detetar uma violação de dados pessoais e a estancar ou mitigar, o mais rapidamente possível, os efeitos nefastos sobre os direitos dos respetivos titulares e sobre a própria organização.
Esse plano de resposta a incidentes deve incluir uma avaliação do risco para as pessoas singulares, que permita ao responsável pelo tratamento dos dados, concluir se deve notificar a violação de dados, quer à autoridade de controlo, quer aos titulares dos dados afetados sendo importante indicar que, embora seja possível fornecer a informação necessária para notificar a autoridade de controlo relativamente a estas ameaças, por fases, esse facto não exclui nem deve excluir a obrigação do responsável pelo tratamento agir em tempo útil para dar correta e atempada resposta à violação de dados pessoais quando a mesma ocorra.
É recomendável que o responsável pelo tratamento de dados, bem como ao seu subcontratante (com as devidas adaptações), que adotem medidas de segurança especificas, consoante o que for adequado às características e sensibilidade dos tratamentos de dados pessoais efetuados e às especificidades da sua organização, com vista a dar cumprimento às obrigações previstas no Regime Geral de Proteção de Dados, quanto à segurança do tratamento de dados pessoais.
Importa por isso analisar, que medidas estão a ser aplicadas na sua organização, os contratos relativos a esta matéria e qual o seu conteúdo obrigacional, e o que pode ser feito por forma a garantir que a sua empresa cumpre as medidas de segurança (técnicas e organizativas) que devem ser adotadas para minimizar as consequências para os direitos das pessoas quando há ataques informáticos. E importa cada vez mais levar a cabo este trabalho, antes de sofrer as consequências de um ataque informático: “Não deixes para amanhã, o que podes fazer hoje”.
No contamos com uma ampla experiência a pessoas singulares e coletivas, nacionais ou estrangeiras, neste tipo de questões e ajudamos as empresas a cumprir a lei e a aplicar as melhores práticas para evitar ou minimizar os efeitos indesejáveis de um ciberataque.